PANews 4月17日消息,根據Bitcoin.com報道,ENS首席開發者Nick Johnson揭露了一起精妙的網絡釣魚攻擊,該攻擊利用了谷歌系統中的漏洞,尤其是近期已修復的OAuth漏洞。根據Johnson描述,攻擊者先發送看似來自Google法律部門的詐欺郵件,謊稱收件人的帳戶涉及傳票調查。這些郵件帶有真實的DKIM數位簽名,且發自谷歌官方的no-reply域名,因此能輕易繞過Gmail的垃圾郵件過濾。 Johnson指出,該騙局的可信度因一個連結至偽造支援入口網站的sites.google.com超連結而大增。這個偽造的Google登入頁面揭露了兩大安全漏洞:一是Google Sites平台允許執行任意腳本,使犯罪者能夠創建竊取憑證的頁面;二是OAuth協定本身有缺陷。
Johnson譴責谷歌最初將此漏洞視為“符合設計預期”,並強調漏洞構成嚴重威脅。更糟的是,偽造門戶利用sites.google.com這一可信域名作為掩護,大大降低了用戶的警覺性。此外,Google Sites的濫用舉報機制不完善,導致非法頁面難以及時被關閉。在公眾壓力下,谷歌最終承認存在問題。 Johnson隨後確認,Google計劃修復OAuth協議的缺陷。安全專家提醒使用者保持警惕,對任何意外的法律文件都要持懷疑態度,並在輸入憑證前仔細核實網址的真實性。
